Kişisel Verilerin Korunması Hukuku ve Blockchain Teknolojisi

Geride bıraktığımız son 10 yıl içerisinde artan nüfus ve teknolojik gelişmeler sonucunda
hayatın her alanında internetin kullanımı oldukça artmıştır. Özellikle e-ticaretin
yaygınlaşması ile günlük alışverişlerden ticari faaliyetlere, sanal paradan bankacılık
işlemlerine kadar her türlü ihtiyacın karşılanması internet sayesinde daha kolay hale
gelmiştir. Bu durum, internetin sık kullanımı ile beraber, günlük hayatta insanların kişisel
bilgilerini normalden daha çok paylaşmasına sebep olmuş ve bunun sonucunda
paylaşılan bu bilgilerin daha fazla korunması ihtiyacı ortaya çıkmıştır. Bu nedenle birçok
ülke paylaşılan kişisel verileri korumak için kanun yapma yoluna başvurmaktadır.
Ülkemizi en yakından ilgilendiren düzenlemeler ise Avrupa Birliği Genel Veri Koruma
Tüzüğü (GDPR) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur.  14
Nisan 2016 tarihinde Avrupa Komisyonu tarafından kabul edilen ve 25 Mayıs 2018
tarihinde yürürlüğe giren GDPR, Avrupa Birliği üyesi ülkelerde yaşayan kişilerin kişisel
verilerinin daha da etkili şekilde korunmasını ve insanların kendilerine ait bilgilerin nasıl
işleneceğine dair bilgi edinmesini sağlamaktadır. Tüzük, AB’de bulunan ve kişisel verisi
işlenen herkes yönünden uygulanmaktadır. Fakat Tüzüğün uygulama alanı bölgesel
açıdan sadece Avrupa Birliği ile sınırlı değildir; mal ve hizmet sunumu çerçevesinde AB
dışında olan fakat Birliğe üye vatandaşların verilerini işleyenleri de kapsamı içine
almaktadır. Kişisel Verilerin Korunması Kanunu ise 07/04/2016 tarihli ve 29677 sayılı
Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu kanun ile kişisel verilerin
işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerinin koruması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri
ile uyacakları usul ve esasların düzenlenmesi amaçlanmaktadır.[1]  KVKK temelini
95/46/AT sayılı Kişisel Verilerin Korunması Yönergesi ve Genel Veri Koruma
Tüzüğü’nden (GDPR) almaktadır.
 
Kişisel veri oldukça geniş bir kavramdır ve belirli veya belirlenebilir bir kişiye ilişkin her
türlü veri olarak kabul edilir. Bu sebeple kişinin sadece ismi, soyismi veya e-posta şifresi
değil, aynı zamanda kişinin sosyal veya ekonomik her türlü özellikleri kişisel veri
kavramına dahildir. GDPR ve KVKK kişisel verilerin hukuka uygun şekilde işlenmesi ve
güvenli şekilde muhafaza edilmesi amacıyla birçok düzenleme öngörmekte ve veri
sahibine önemli haklar tanımaktadır. Bu haklar arasında veri sahibine tanınan “Kişisel
Verinin İmha Edilmesini Talep Etme Hakkı” da yer almaktadır.
 
Kişisel verilerin korunmasına ilişkin mevzuatın uygulanmasında günümüz
teknolojilerinden yararlanılmaktadır. Ancak her ne kadar GDPR’ın, Avrupa Birliği’nin
1995 yılından bu yana kişisel veri korunmasına ilişkin en büyük revizyonu olduğu kabul
edilse de Tüzüğün günümüz teknolojileri ile bazı sorunlar yaşadığı göz ardı edilemez.
Özellikle son yıllarda oldukça popüler olan Blockchain teknolojisine ilişkin olarak
GDPR’ın uygulanmasında bazı sorunlar yaşandığı görülmüştür. Dünya finans sisteminin
değişmesine, borsaların çökmesine ve finans kuruluşlarını ve şirketlerini iflasın eşiğine
getiren ve bankaların batmasına neden olan 2008 yılı Küresel Finans Krizi insanların
finansal kuruluşlara olan bakış açısını olumsuz yönde etkilemiştir. Bu durum o dönemde
halihazırda kullanılan sistemlere alternatif olarak Blockchain teknolojisinin ortaya
çıkmasına sebebiyet vermiştir. Blockchain; herhangi bir işlem, doküman veya veriyi bir
blokta kaydeden ve merkezi olmayan bir ağdaki diğer blokların zincirlerinin birbirine

eklenmesinden oluşan bir tür dijital defterdir. Bitcoin ile sesini duyuran blockchain
teknolojisi; kriptografi/şifreleme ve dağılımın bir araya gelmesiyle sanal veri halkalarının
içinde gizlenmiş olan bilgilerin imhasını oldukça zorlaştırmaktadır. Tüzük, “Unutulma
Hakkı” kapsamında veri sahibinin talep etmesi halinde, işlenen kişisel verilerin imhasına
imkan tanımaktadır. “Unutulma Hakkı” Google Spain Kararı ve AB’nin bu hakka ilişkin
çalışmaları sonucu ortaya çıkmıştır. Söz konusu karar, bir veri sahibinin kendisi ile ilgili
olan ve halihazırda güncel olmayan bir verinin artık arama motoru sonuçlarından
silinmesi gerektiğine yönelik talebi sonucunda, Avrupa Birliği Adalet Divanı’nın (ABAD)
bu talebi kabul etmesine ilişkindir. KVKK kapsamında da gerçek kişi veri sahibine
verilerinin silinmesini veya yok edilmesini talep etme hakkı bulunmaktadır. İşte tam da bu
noktada Kişisel Verilerin Korunması Hukuku ve kişisel verilerin güvenliği bakımından
Blockchain teknolojisinin kullanılmasının avantajlı olup olmadığı sorusu akla gelmektedir.
 
Blockchain teknolojisinin ana amacının, kayıtlardaki doğruluk ve güvenliğin sağlanması
için bloklara girilen verilerin silinememesi ve değiştirilememesi olduğu dikkate alındığında
Tüzüğün ve KVKK’nın veri sahiplerine sağladığı bazı hakların uygulamasında güçlüklerle
karşılaşılabileceği açıktır. Örneğin, veri sahibinin verilerinin işlenmesine ilişkin icazetini
geri alması durumunda GDPR ve KVKK çerçevesinde bu sanal halkalarda depo edilen
verilerin nasıl imha edileceği kafa karışıklığına yol açmaktadır. Ayrıca sisteme girilmiş
olan verilerden birinin düzeltilmesinin gerekmesi halinde de aynı sorun ile karşı karşıya
kalınması olasıdır. Yine kişisel verinin kullanım amacının ortadan kalkması sebebiyle bu
verinin kaldırılması gerektiğinde de geniş ağlara yayılmış ve sanal halkalar içinde
depolanan bu verilere müdahale etmek kolay olmayacaktır.
 
Öte yandan, Blockchain ağı herkesin erişim sağlayabileceği şekilde umumi olabileceği
gibi sadece belirli kişi veya kurumların erişimine açık şekilde özel de olabilir. Bitcoin,
umumi ve izin gerektirmeyen blockchain şebekelerine verilebilecek en bilinen
örneklerden biridir. Blockchain teknolojisinin en önemli özelliklerinden birisi bu her türlü
verinin depolandığı sistemin merkezsizleştirilmiş/dağıtılmış olmasıdır. Sistemin dağıtılmış
olması özellikle umumi olan blockchainlerin belirli bir kişiye ait olmadığı anlamına
gelmektedir ki bu durumda herkes bu sisteme erişim sağlayabilir ve veri girişinde
bulunabilir. Halbuki GDPR ve KVKK kişisel veri işleyenlerin ve veri sorumlularının net bir
şekilde bilindiği, yani daha çok merkezileştirilmiş bir sistemi desteklemektedir. Bu
sebeple dağıtılmış bir ağda hukuka aykırı olarak işlenmiş bir verinin tespiti ve bu işleme
faaliyetinden kimin sorumlu olduğunun belirlenmesi güçlük arzedebilecektir.
 
Ayrıca blockchain teknolojisinin sürdürülebilirliğine ilişkin soru işaretlerinin (zaman içinde
devasa boyutlara ulaşan doğrulama işlemleri ve bu işlemler için yapılan enerji sarfiyatı, 
madencilik havuzlarının mutabakat sistemini manipule etme riskinin bulunması vb.)
bulunuyor olması da özellikle izin gerektirmeyen blockchain şebekelerinde kişisel
verilerin saklanması fikrini olumsuz etkileyebilmektedir.
 
GDPR, AB’de yerleşik olsun veya olmasın, veri sahiplerinin onayı dışında kişisel veri
işleyen veri sorumlularına ağır cezalar öngürmüştür. Bu sebeple AB ile kişisel verilerin
kullanılmasına ilişkin yapılacak hertürlü sözleşmenin, aynı zamanda GDPR hükümlerine
de uyumlu davranılacağına yönelik bir taahhütname niteliğini de haiz olacağı göz önünde
bulundurulmalıdır. Bu sebeple teknoloji ve beşeri faktörlerin bir araya gelmesiyle birlikte
ortaya çıkan her yenilik ile yüzyıllardır süregelen kanun yapma faaliyetinin uyumlu bir
şekilde ilerlemesi,  aslında tüm toplumlar için olması gerekeni işaret eder. Dolayısıyla
verilerin güvenli şekilde saklanması için geliştirilmiş olan blockchain teknolojisi gibi toplu
veri depolama sistemlerinin günümüz hukuk sistemleri ile uyumlu hale gelmesi gerektiği
kaçınılmaz bir gerçektir. Ancak her ne kadar kanun koyucular yeni teknolojik

uygulamaların genel olarak hukuka ve özel kanunlara uygun olması gerektiği konusunda
hemfikir olsalar da otoritelerin yasal düzenlemelerin yeni gelişen teknolojiler için tekrar
tekrar güncellenmesinin hem kişisel veri sahipleri hem kişisel veri işleyen gerçek veya
tüzel kişiler için faydalı olacağının bilincinde olması gerekmektedir.
 
 

[1] T.C Kalkınma Bakanlığı Yönetim Hizmetleri Genel Müdürlüğü Bilgi ve Belge Yönetimi
Dairesi Başkanlığı. (2017). Avrupa Birliği Genel Veri Koruma Tüzüğü'nün Getirdiği
Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi. Ankara.